本文内容仅用于学习研究，禁止用于非法用途。

一、安装java1.8环境

一定要是java1.8；如果你安装的是默认的最新的16或17版本的java会导致用于测试的某些java程序不能运行！如果你的电脑存在2种或更多版本的java，可以使用指定版本java完整路径的命令来启动java程序。

/Library/Java/JavaVirtualMachines/jdk1.8.0_191.jdk/Contents/Home/bin/java -version

二、安装tomcat环境

自行到官网（https://tomcat.apache.org/download-90.cgi）下载对应版本并进行安装。我的电脑安装完路径在“/Users/用户名/Library/tomcat9.0.50/bin”

开始	sudo sh ./startup.sh
结束	sudo sh ./shutdown.sh

三、下载测试用的shiro环境

测试用的war包可以去这个地址下载https://github.com/jas502n/SHIRO-550；下载里面的samples-web-1.2.4.war文件即可。为什么建议下war包呢，因为你如果去下源码可能编译等存在问题，直接下载war包上传到tomcat的webapps目录，重启tomcat后会自动解压。

启动tomcat后可以通过地址http://localhost:8080/shiro/ 进行访问。

四、使用shiro反序列化漏洞综合利用工具进行漏洞检测

如果是手动根据原理来进行检测测试的话是很麻烦的，可以使用开源的检测软件。

https://github.com/fa1c0n1/shiro_attack

基本上傻瓜化操作，到这一步改检测工具也提供了内存马注入（测试时发现，内存马只要重启tomcat就会失效，所以在修补此漏洞后最好再重启下服务器，另外一旦挂马建议是重装服务器系统，因为你不知道对方在有shell权限期间都在服务器上做了什么事）

五、注入冰蝎内存马并进行连接

本次实验工具注入的冰蝎版本比较老了，现在的waf防火墙基本都能识别就算挂马成功也会被拦截。实验中需要使用冰蝎2.0.1版本才能连接，如果使用冰蝎3.0及以上版本会显示一直连接中。

一定要使用1.8版本的java来运行冰蝎2.0.1；在mac下因为我安装了java1.8和16两个版本因此要制定java命令版本，实测时还是不能运行可能是mac系统版本的问题（我的mac系统11.2，这个冰蝎2.0里面的java类好像高于10.7的mac系统都不行），正常情况下使用下面命令就可以启动冰蝎了： 最前面是1.8版本java的路径，-XstartOnFirstThread参数在mac系统下是需要有的否则报错“***WARNING: Display must be created on main thread due to Cocoa restrictions.” 最后一个参数是要运行的jar包的文件路径可以将jar文件直接拖到终端会自动转为完整路径。

/Library/Java/JavaVirtualMachines/jdk1.8.0_191.jdk/Contents/Home/bin/java -XstartOnFirstThread  -jar Behinder.jar

下面的截图是我在安装了java1.8的虚拟机中运行的冰蝎2.0.1，虚拟机一开始直接去官网安装的java结果是java17版本不能用，然后又重新下载了1.8版本，通过制定java版本来运行即可！

"C:\Program Files\Java\jre1.8.0_121\bin\java.exe" -jar Behinder.jar

六、如何处理此漏洞

给项目里用到的shiro包进行版本升级，还有项目用到的其他jar包最好定期检查是否有安全更新。

原服务器最好重装系统（重装前一定要先全盘备份或ecs快照，一定要备份！），并重新部署相关环境。

选用waf等web应用防火墙产品。服务器软件及系统保持更新。

如果是纯内部系统，可以考虑将服务部署到局域网环境或通过vpn搭建专属局域网进行访问（仅允许局域网ip进行访问，如果已经被挂了反弹型木马这种方法无效，在无法彻底清除木马的情况下只能重装系统）。

PS：

关于shiro550漏洞的更详细解释，可以参考这篇文章https://my.oschina.net/u/4580734/blog/4363841

基于互联网精神，在注明出处的前提下本站文章可自由转载！

本文链接：https://ranjuan.cn/mac-shiro550-attack/